php.php_.php7_.gif - WordPress Malware (růžový obraz X v knihovně médií)

Nedávno mi byla na několika stránkách oznámena zvláštní věc WordPress.

Problémová data php.php_.php7_.gif

Tajemný vzhled a .gif obrázky s černým "X" na růžovém pozadí, Ve všech případech byl soubor pojmenován "php.php_.php7_.gif", Mající všude stejné vlastnosti. Zajímavostí je, že tento soubor nebyl nahrán konkrétním uživatelem / autorem. "Nahráno uživatelem: (žádný autor)".

Název souboru: php.php_.php7_.gif
Typ souboru: image / gif
Nahráno dne: Července 11, 2019
Velikost souboru:
Rozměry: 300 podle pixelů 300
Titul: php.php_.php7_
Nahráno uživatelem: (žádný autor)

Ve výchozím nastavení se tento soubor .GIF zdá být obsahuje skript, je načten na serveru v aktuální složku nahrávek z chronologie. V uvedených případech: / Root / wp-content / uploads / 2019 / 07 /.
Další zajímavostí je, že základní soubor php.php_.php7_.gif, který byl nahrán na server, nemůže otevřít editor fotografií. Náhled, Photoshop nebo jiné. Místo toho thumbnail(ikony) automaticky vytvořené pomocí WordPressu na více velikostech, perfektně fungují .gif a lze je otevřít. "X" černá na růžovém pozadí.

Co je to "php.php_.php7_.gif" a jak se můžeme těchto podezřelých souborů zbavit

Smazat tyto soubory s největší pravděpodobností malware / viry, není to řešení, pokud se omezíme jen na to. Jistě php.php_.php7_.gif není legitimní WordPress soubor nebo vytvořený pluginem.
Na webovém serveru lze snadno identifikovat, pokud máme Linux Malware Detect nainstalován. Anti-virus / anti-malware proces "maldet"Okamžitě jej rozpoznal jako typ viru:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Velmi se doporučuje mít jeden na webovém serveru a aktualizovat jej, Antivirus je navíc nastaven tak, aby trvale sledoval změny webových souborů.
Verze WordPress a všechny moduly (pluginy), Pokud jsem viděl, všechny WordPress stránky infikované php.php_.php7_.gif mít jako společný prvek pluginu "WP Review“. Plugin, který právě obdržel aktualizaci v changelogu, zjistíme: Opraven problém se zranitelností.

V jednom z webů postižených tímto škodlivým softwarem byl v souboru error.log nalezen následující řádek:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

To mě napadá, že nahrání falešných obrázků bylo provedeno prostřednictvím tohoto plug-inu. Chyba nejprve vzniká z chyby fastcgi PORT.
Důležitá poznámka je, že tento malware / WordPress ve skutečnosti nebere v úvahu verzi PHP na serveru. Našel jsem obojí PHP 5.6.40 a PHP 7.1.30.

Tento článek bude aktualizován, jak se dozvíte více o php.php_.php7_.gif škodlivém souboru MediaKnihovna.

php.php_.php7_.gif - WordPress Malware (růžový obraz X v knihovně médií)

O autorovi

Tajnost

Vášnivý o všem, co gadget a psát, ochotně stealthsettings.com z 2006 a rád objevovat nové věci s vámi o počítačích a MacOS, Linux, Windows, iOS a Android.

Zanechat komentář